（计算机应用技术专业论文）基于角色的rbac模型在保险中介系统中的研究与应用.pdf

基于角色的r b a c 模型在保险中介系统中的研究与应用 摘要 随着企业信息系统的广泛使用，系统安全问题受到越来越多的关注，而访 问控制技术是解决安全问题的关键。目前我国大部分企业均采用传统的访问控 制技术，自主访问控制技术( d a c ) 和强制访问控制技术( m a c ) ，均存在一定弊 端，有其局限性。本文对企业信息系统中采用基于角色的安全访问控带t j ( r b a c ) 技术进行了理论研究和实际应用。 本文所完成的主要工作如下： ( 1 ) 从理论上研究了r b a c 的概念模型，并与传统的安全访问控制相比较， 论证了在企业信息系统中采用r b a c 的必要性； ( 2 ) 通过分析企业信息系统的特点和安全需求，指出了r b a c 概念模型的 不足，提出了r b a c 的改进模型。通过在建立会话管理时，加入对角色的动态 限制，控制了角色的可访问数据范围，以使模型更适应企业的多层次结构； ( 3 ) 根据r b a c 改进模型，在分析企业信息系统的安全需求和组织特点的 基础上，制定了企业信息系统r b a c 的实现方案，对角色划分、权限分配、会 话管理、r b a c 管理进行了方案设计，并论述了方案的特点和优势； ( 4 ) 将r b a c 模型应用到保险中介业务管理信息系统中，该系统经过 实际运行，通过基于角色的用户管理，加强了权限分配，有效的控制了用户对 数据增加、修改、删除和查询的权限。 关键字：企业信息系统角色安全r b a c 模型 r e s e a r c ha n da p p l i c a t i o no fr b a cm o d e lb a s e do nr o l ei nt h e i n s u r a n c em e d i u ms y s t e m a b s t r a c t w i t ht h ew i d e l yu s i n ga n dd e v e l o p m e n to fe n t e r p r i s ei n f o r m a t i o ns y s t e m s ， p e o p l el o o km o r ei m p o r t a n tu p o nt h es e c u r i t yo fs y s t e mg r a d u a l l y a c c e s sc o n t r o l t e c h n o l o g yi st h ek e yf a c t o ro fs o l v i n gs e c u r i t yp r o b l e m s a tp r e s e n tm o s t o f e n t e r p r i s ei n f o r m a t i o ns y s t e m sa d o p tt r a d i t i o n a lm e t h o d si n c l u d i n gd i s c r e t i o n a r y a c c e s sc o n t r o l ( d a c ) a n dm a n d a t o r ya c c e s sc o n t r o l ( m a c ) ，w h i c hh a v es o m e d e f i c i e n c i e s t h i sp a p e rt h e o r e t i c a l l ya n dp r a c t i c a l l ys t u d i e sr o l e b a s e da c c e s s c o n t r o l ( r b a c ) i ne n t e r p r i s ei n f o r m a t i o ns y s t e m s t h em a i mw o r ki nt h ed i s s e r t a t i n ga sf o l l o w i n g ： ( 1 ) a n a l y z er b a cc o n c e p tm o d e l ，c o m p a r ei tw i t ht r a d i t i o n a la c c e s sc o n t r o l s c h e m e ，a n dd e m o n s t r a t et h en e c e s s i t yo fi m p l e m e n t r b a ci n e n t e r p r i s e i n f o r ma t i o nsy s t e m s ( 2 ) w e p o i n to u tt h ed e f i c i e n c yo fm o d e lb yd i s c u s s i n gt h ee h a r a c t e r sa n d s e c u r i t yr e q u i r e m e n t so fe n t e r p r i s ei n f o r m a t i o ns y s t e m s t h e nw ep r o p o s e a n i m p r o v e dm o d e lb ya d d i n gd y n a m i cc o n s t r a i nt o nr o l e ，w h i c hc a nc o n t r o l t h e u s e r s d a t aa c c e s sr a n g e ( 3 ) a c c o r d i n gt h ei m p r o v e dm o d e l ，w ed e s i g n t h es c h e m eo fr b a c i m p l e m e n t ，w h i c h i n c l u d e s d i v i d i n gr o l e s ，a s s i g n i n gp e r m i s s i o n s ，s e s s i o n m a n a g e m e n ta n dr b a ca n da d v a n t a g e so fr b a ca d m i n i s t r a t i o n w es u m m a r i z e t h es p e c i a l t i e si ne n t e r p r i s ei n f o r m a t i o ns y s t e m s ( 4 ) r b a cm o d e li su s e dt ot h ei n s u r a n c em e d i u mb u s i n e s sm a n a g e m e n t i n f o r m a t i o ns y s t e m b yt h ea c t u a lo p e r a t i o no ft h es y s t e ma n dr o l e - b a s e d u s e r m a n a g e m e n t ，t h e ne n h a n c ea l l o c a t i o no fa u t h o r i t y , a n dc o n t r o le f f e c t i v e l yt h eu s e r s p e r m i s s i o nt oi n c r e a s e ，m o d i f y , d e l e t e ，a n dq u e r y d a t a k e yw o r d s ：e n t e r p r i s ei n f o r m a t i o ns y s t e m ；r o l e ；s e c u r i t y ；r b a cm o d e l 图2 1 图2 - 2 图2 - 3 图2 - 4 图2 - 5 图2 - 6 图3 - 1 图3 - 2 图4 - 1 图4 - 2 图5 - 1 图5 - 2 图5 3 图5 - 4 图5 - 5 图5 - 6 图5 7 图5 - 8 图5 - 9 图5 1 0 图5 1 1 图5 - 1 2 插图清单 r b a c 中各元素相互关系示意1 1 平面r b a c 模型1 3 层次型r b a c 模型1 4 带约束的r b a c 模型。1 5 a b r c 9 7 模型1 7 r b a c 改进模型1 8 安全访问控制系统总体结构2 0 角色分级2 l 角色继承示意图2 8 角色的桥梁作用3 0 保险代理系统模块图3 3 r b a c 中各元素相互关系示意。3 3 系统主界面图3 5 部分角色图3 6 用户角色分配图3 7 角色权限分配图3 7 用户角色权限关系图3 8 登陆流程图3 8 表结构图3 9 保险中介系统登陆界面图3 9 用户登录后图4 0 非法操作提示图4 1 表格清单 表2 一lr b a c 模型总结表1 6 独创性声明 本人卢明所v 交的。半：何沦文是本人扫：导l i l j 指导卜。进 孙j u f 究i f 1 及取硼 f , j o j l 究成泶。据我所 知，除了文中特j j l j 加以标忠和致谢的地方外，论文中刁i 包含其他人已经发表或撰。j 过的 j ) 究成粜， 也不包含为获得金8 璧! ：些厶：羔 或其他教育机构的：叫眺戈证i ；而使j 4 过n 勺利料。- i 我l 叫i1 1 的州忠对本 】丌究所做n 勺任f 1 1 j 贞i 4 j c 均l 仵沦史中f ，l j 丁叫俑的晚u 月j 1 & 不酣惫。 学位论文作者签字：瑰拓 扎1 叶月n 学位论文版权使用授权书 本学f t 论文作者完全了解 佥坠! ：些厶堂 有天保留、使川予：似论文f l 孙见j 七，仃权保留j 呐 国家有关部fj 或机构送交论文的复印什利馓枯，允汁论文被布阅或借阅。本人授权金8 曼! ：些厶 l 可以将学何论文的全部或部分论文内容编入仃犬数据j 乍进 j 检索，可以采川影印、缩印域 1 描等复制手段保存、 1 一编学何论文。 ( 保密的。孚：侮论文住解密_ | 亓适川本授枞l0 ) 黼沦媚签名：鄙劾 、 、 签字帆1 年午月i 歹目j 。 。 纠? ，论文竹名牛! _ 厶向： f 1 一单f 节： 通计l j 也j 1 ： 导帅签名 签字日期： 电i 邮编 阿俨 致谢 首先要感谢我的导师周国祥教授，本论文工作从选题、研究到写作，自始 至终得到了周老师的指导、关心、信任和支持，没有导师的指导和培养，本论 文是不可能完成的。在整个硕士研究生的学习生活中，周老师渊博的知识、敏 锐的思路、严谨的治学态度、忘我的敬业精神、平易近人的性格，使我终生难 忘。 感谢计算机学院所有给我们授课的老师，他们不仅给了我知识，而且他们 对工作的认真态度和敬业精神给了我另外的教育，使我知道了如何在以后的工 作中做一个真正合格的人才。他们是我学习的榜样。 感谢各位评审专家在百忙之中抽时间对论文进行了仔细的评阅。 感谢所有的同学们，在学习中给予了我无私的帮助，与其共同探讨，协同 工作。从他们身上，自己也学到了不少的东西。我们是在相互帮助中成长的。 另外，我还要衷心感谢我的家人和朋友，几年来，他们一直给予我无私的 关心和支持，对此我将铭记在心。 本论文涉及的项目是在多方协助参与下共同完成的，在此向各方表示感谢! 魏亮 2 0 0 9 年3 月1 0 日 第一章绪论 1 1 课题研究背景和意义 1 1 1 课题研究背景 本课题来源于安徽省保监局委托我校计算机与信息学院开发的“保险中介 业务系统。 “保险中介”在我国出现大约有4 到5 年的时间。目前，安徽大多数保险 中介机构的业务和财务管理基本上是处在一种手工管理状况，公司所需要的各 种报表信息仅仅是通过w o r d 、e x c e l 工具简单制作而成。这种手工管理方式存 在如下问题：缺乏统一的管理模式，管理不规范，工作效率低，管理工作量大， 出错率高，缺乏市场竞争能力，经济效益难以提升：同时也使上级主管部门难 以及时、准确获取数据，了解“中介”业务、财务运营状况，使监管难度加大。 这种手工管理方式远远不能适应于我国国民经济快速发展的需求，与国际保险 业接轨还存在一定的差距，离保监会对保险中介机构信息化建设的要求相差较 大。 保险代理人是根据保险人的委托，向保险人收取代理手续费，并在保险人 授权的范围内代为办理保险业务的单位或个人。依照中国保监会2 0 0 1 年1 1 月 1 6 日发布的保险代理机构管理规定，第七条，保险代理机构可以以合伙企 业、有限责任公司或股份有限公司形式设立。其特点是在保险人授权的范围内 代为办理保险业务。 针对当前安徽省保险代理行业的内部业务财务管理流程，以现代信息技术 为基础，研制开发一套代理公司业务财务信息集成系统，用计算机管理信息系 统取代手工管理不仅可以提高工作效率、降低运作成本，而且提升营销管理。 建立自己独立的业务财务信息集成系统，统一管理所有客户及保单资料，也可 以为发展更多家保险公司业务创造条件，通过分析与保险公司的合作收益，争 取更优惠的条件，以便更有效地优化合作关系。因此，为了保险代理公司更久 远的发展，开发一套适合于保险公估公司的业务财务信息集成系统已迫在眉睫。 同时由于保险系统保存了大量客户的详细信息，保密性要求较高，因此访 问控制是保证系统安全的一道重要屏障。如今，保险中介系统中涉及的文档信 息量大，信息的密级分类细，要求的保密级别高。目前，大多数管理系统采用 的自主式和强制式访问控制策略已不能灵活合理的解决这些问题。本课题拟通 过调研，联系保险中介公司的实际情况，建立基于角色的r b a c 模型并实现应 用到系统中，为保险行业发展提供有利的保障 1 1 2 课题研究意义 党的十六大会议上明确地提出要将信息化作为我国今后一段时间内的发展 重点，信息已成为一个企业、部门生成、经营和发展不可缺少的资源，信息化 是当今世界经济和社会发展的大趋势。企业信息化是经济和社会信息化的重要 基础，它是指企业利用现代信息技术，通过对信息资源的深度开发和利用，不 断提高生产、经营、管理、决策的效率和水平，从而提高企业经济效益和市场 竞争能力的过程。加强保险中介机构的信息化建设，将有利于提高保险中介行 业整体经营管理水平，不断增强公司自主创新能力，提升公司核心竞争能力， 对我国保险中介行业稳步健康地发展产生深远影响和发挥重要作用。 就目前的情况来看，保险中介系统建设的过程中还存在着不少的问题，安 全是其中尤为重要的一个方面，事实表明一个不安全的保险中介系统要比没有 保险中介系统造成的损失后果还要严重。而且目前许多保险中介系统的安全系 统只是将目前的一些安全产品，如防火墙，防病毒软件等拼凑起来的，很少有 从内部机制上进行仔细研究规划，从而做出系统设计的。 因此，本文研究的目的很明确，就是希望能从系统的安全设计机制上着手， 结合中国保险中介业务的趋势特点，运用学过的知识，对设计系统的所需的内 部安全机制做一些探讨研究，并且设计出一个保险中介权限管理系统的系统框 架。 1 2 访问控制技术研究现状 随着计算机技术的迅速发展，应用领域的不断扩大，特别是近年来网络的 迅猛发展与普及，计算机系统的安全问题成为人们关注的焦点。从系统的角度， 计算机系统的安全问题可分为三类：操作系统安全、网络安全和数据库安全，这 三者不是完全独立分离的，只有将这三类安全有机结合才能真正意义上保证整 个计算机系统的安全性。数据库的安全管理以保密性、完整性和可用性为宗旨， 保证向授权用户提供其相应权力范围内的数据信息，并有力防范非法用户的破 坏企图以及合法用户的越权操作，数据库安全系统一般采用如下措施：身份认 证、访问控制、加密技术、审计跟踪、入侵检测以及系统恢复，而其中的访问 控制技术是本论文的研究重点。 美国国防部的可信计算机系统评估标准( t e s e c ) 把访问控制作为评价一个 应用系统安全的主要指标，访问控制对于提高整个系统安全性的重要性是不言 而喻的。访问控制是实现一个应用系统中制定出的安全策略的系统安全技术， 它管理系统中所有数据资源的访问请求，也就是根据应用系统中安全策略的要 求，对每一个数据资源的访问请求做出是否允许执行的判断，能够有效的防止 非法用户访问系统数据资源和合法用户越权使用数据资源【8 】【9 】【l0 1 。 运用于计算机信息系统的访问控制技术( a c c e s sc o n t r o l ，a c ) 最早产生于二 十世纪六十年代，随后出现了两种重要的访问控制技术：自主型访问控制 ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) p j 和强制型访问控制( m a n d a t o r ya c c e s s 2 c o n t r o l ，m a c ) t 1 1 ，它们广泛运用于多用户系统，对于计算机信息系统的安全做 出了很大的贡献【6 】【7 】。 自主型访问控制d a c 最早出现在二十世纪七十年代初期的分时系统中， 它是多用户系统中最常用的一种访问控制技术，如u n i x 操作系统中普遍采用 自主型访问控制。有些学者称d a c 为基于主体的访问控制，因为客体对应的 主体可以授权其它的主体访问客体，以及修改该客体的有关信息。自主型访问 控制通过权限矩阵来表示系统中各个用户对不同数据资源的存取权限。当用户 希望执行某项操作时，系统就将用户的请求与系统的存取矩阵进行比较，如果 该用户的请求与用户实际被授予的权限相匹配，则该用户便可以在他的权限范 围内对数据信息进行操作，否则系统拒绝该用户的访问请求。自主型访问控制 技术在一定程度上实现了权限隔离和资源保护，但是在资源共享方面难以控制。 为了便于资源共享，有些系统引入用户组的概念，以实现组内用户的资源共 享。 自主型访问控制技术存在的缺点就是：在自主访问控制模型中，用户可以在 不需要系统认可的条件下就可以自主的将自己的权限授予其他不拥有该权限的 用户，这会给整个系统带来潜在的危险，造成信息漏洞，对于资源的管理很分 散，用户之间关系不能够在系统中体现出来，数据信息很容易泄漏并且无法抵 御特洛伊木马( t r o j a nh o r s e ) 的攻击。因为自主型访问控制中客体的访问授权取 决于主体，从而不能用于具有较高安全要求的应用系统。针对自主型访问控制 技术的不足，一些学者对它提出了一系列的改进措施。二十世纪七十年代末， h h a r r i s o n ，w l r u z z o ，j d u l l m a n 就对传统的自主型访问控制做出了扩充，提 出了哈里森一罗佐一厄尔曼( h r u ) 半自主式的存取矩阵模型【l 引，该模型采取主 体自主管理对应客体的访问和安全管理员限制访问权限随意扩散相结合的方 式，并设计了安全管理员限制访问权限随意扩散的描述语言，但是哈里森一罗 佐一厄尔曼h r u 模型没有对访问权限扩散的程度与内容做出具体、系统的定 义。直到1 9 9 2 年s a n d h u 等人将h r u 模型发展为t a m ( t y p ea c c e s sm a t r i x ) 模 型，在客体和主体产生时就对访问权限的扩散做出详细具体的规定，随后将 t a m 模型发展为a 1 r a m ( a u g m e n t e dt y p ea c c e s sm a t r i x ) 模型，用来描述访问权 限需要动态变化的系统安全策略 强制型访问控制m a c 最早运用于m u l t i c s 系统中，在19 8 3 美国国防部的 t e s e c 中被用作为b 级安全系统的主要评价标准之一，主要用于描述计算机系 统环境下的多级安全策略。强制型访问控制模型是通过系统给所有的主体和客 体分配不同的安全属性来构成系统授权状态，主体是否可以对客体执行特定的 操作取决于主体与客体的安全属性之间对应的关系，通常情况只有系统权限管 理员才能根据实际情况修改系统的授权状态。安全属性用二元组( 安全级，类别 集合) 表示，安全级表示机密程度，类别集合表示部门或组织的集合。一般的 3 m a c 都要求主体对客体的访问满足贝尔一拉帕杜拉b l p ( p e l a n dl a p a d u l a ) 安全 模型的两个基本特征：简单安全性，仅当主体的安全级不低于客体的安全级且主 体的类别集合包含客体的类别集合时，才允许主体读客体；特性二，仅当主体的 安全级不高于客体的安全级且客体的类别集合包含主体的类别集合时，才允许 主体写客体。 m a c 机制通过对用户和数据资源的安全属性进行比较，判断用户是否有权 对其请求数据资源进行访问操作。强制型存取控制模型中信息只能够向高安全 属性的方向流动，从而可以防止权限级别高的用户将重要数据资源通过非法途 径传输给低权限用户，在某种程度上提高了系统的安全性，并且可以抵御特洛 伊木马对系统保密性的攻击。c h i n e s ew a l l 模型是b r e w e r 和n a s h 开发的强制 型访问控制模型，主要运用于商业领域，保护客户的信息不被非法用户随意篡 改，有效防止数据资源的泄漏。 强制型访问控制技术存在的缺点就是应用领域比较狭窄，使用不够灵活， 一般只能够用于军方等具有很强的等级观念的行业或领域；该模型要遵循向上 写和向下读规则，因而在一定程度上限制了高级别用户写非敏感数据的合理需 求，并且系统授权状态的变更也相当的繁琐，完整性方面控制不够，对高安全 级信息的完整性保护强调不够。 随着计算机网络和分布式技术的发展以及网络的迅速普及，传统的访问控 制技术在很大程度上不能够满足当代应用系统的安全要求，系统安全需求的发 展对访问控制技术提出了新的要求。这主要体现在两个方面：计算机信息系统应 用已渗透到金融、商业以及军政等社会上各行各业中，与具体应用领域相关的 安全需求大量涌现，譬如公共的信息服务系统对于服务信息的完整性和可用性 的要求远远大于对保密性的需求，这种要求对于传统访问控制技术来说很难满 足；网络和分布式技术的发展使得各个应用系统的访问控制要立足于具体的单 位或部门网络来进行设计和实施，在必要的时候还应该考虑系统的开放性，以 便于协作单位之间的应用系统相互连结。 近年来国内外针对访问控制技术问题进行研究的论文有很多，这是计算机 安全界正在研究的一个热点。为了满足新时代的应用系统的安全需求，国内外 学者对访问控制技术进行了大量的研究，一方面针对传统访问控制技术的不足 进行适当的改进，另一方面研究新的访问控制技术以便于适应当前计算机信息 系统的安全需求。 国内外学者在这方面主要提出了以下几种新型的访问控制模型以及在这些 模型基础上进行的相应改进与提高：基于格的访问控制( l a t i c e b a s e da c c e s s c o n t r o l ，l b a c ) 、基于票据的访问控s j j ( t i c k e t b a s e da c c e s sc o n t r o l ，t b a c ) 、基 于任务的访问控制( t a s k b a s e da c c e s sc o n t r o l ，t b a c ) 、基于规则集的访问控制 ( r u l es e t b a s e da c c e s sc o n t r 0 1 r s b a c ) 、基于组机制的访问控制( g r o u p b a s e d 4 a c c e s sc o n t r o l ，g b a c ) 以及基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ， r b a c ) 2 】 p k t h o m a s 等人认为传统的面向主体与客体的访问控制技术过于底层与 抽象，不便于描述应用领域的安全需要，于是他们提出了基于任务的授权控制 模型t b a c ( t a s k b a s e da c c e s sc o n t r o l ，t b a c ) ，从基于任务的观点出发实现访 问控制并且能够解决提前授权问题，授权同任务相关联，是一种主动访问控制 模型，积极参与访问控制管理，不同于传统访问控制模型中只是存储简单的访 问控制定义元组，该模型不足之处在于“比任何模型都复杂 。基于规则集的访 问控制( r u l es e t b a s e da c c e s sc o n t r o l ，r s b a c ) ，r s b a c 德国家h a m b u r g 大学根 据g f a c ( g e n e r a l i z e df r a m e w o r kf o ra c c e s sc o n t r 0 1 ) 模型开发的，可以基于多个 模块提供灵活访问控制的安全操作系统 】【1 2 】。r s s a n dh u 等人在1 9 8 8 年提出 了基于组机制的n t e r e 访问控制模型，并且将这个模型又进行了进一步的扩充， 先后提出了多维模型n 。g r i d 和倒影树模型。n t r e e 模型的理论基础是偏序的维 数理论，组的层次关系由维数为2 的偏序关系( 即n t r e e 树) 表示，通过比较组节 点在n t r e e 中的属性决定资源共享和权限隔离。该模型的主要创新点在于提出 了简单的组层次表示方法和自顶向下的组逐步细化模型而倒影树模型只不过 是n t r e e 模型的一个特例，一棵倒立的树加上它的倒影就构成了一棵倒影树， 倒影树的上半部分负责管理权利分离，倒影部分负责管理资源共享。倒影树模 型解决了组间资源共享问题。 当然在这几种方法中，基于角色的访问控制模型影响最大，它是由美国乔 治梅森大学的s a n d h u 教授等人提出的，与传统自主型的访问控制和强制型的访 问控制相比较，其主要优势在于可以更加灵活的根据要管理系统中的实际情况 采用方便易行的、易管理的访问控制方案，传统的两种访问控制都是通过主体 与访问权限进行直接联系，这种连结方式使得主体与客体的关联过于紧密，特 别是在大型应用系统中主体和客体的数目都非常巨大，权限的授予与收回便显 得特别的复杂、困难，往往容易出错。基于角色的访问控制通过引入角色实现 用户与权限的逻辑分离，实现了灵活方便的权限管理。 国外对分布式环境下的访问控制的研究有美国乔治梅森大学的s a n d h u 教 授等提出的基于角色的访问控制模型，r b a c 9 6 模型系统、全面地描述了r b a c 多种层次的意义，得到广泛的认可，r b a c 9 7 模型进一步的扩展了角色的授权 管理，方面了对角色用户、角色许可、角色角色之间的有效管 理；h o n g h a i s h e n 和d e w a n p 在a c c e s sc o n t r o lf o rc o i l a b o r a t i v ee n v i r o n m e n t s 一文中仅讨论了权限之间的约束问题，没有从约束产生的机制上讨论r b a c 中 的约束问题。 国内关于基于角色访问控制技术问题的论文有很多，主要讲解的是r b a c 的相关建模以及在模型上的相应改进，从总体上看，目前对访问控制的研究主 要偏重于理论，将这些理论模型应用到实际系统的较少。在国内的研究中，乔 颖等在一种基于角色访问控制的新模型及其实现机制一文中提出的n r b a c 模型只是对s a n d h u 的r b a c 模型进行了部分综合，并实现了一些r r 约束；李 成错等在基于角色的c s c w 系统访问控制模型一文中提出的r b c s a c 模型 中的约束描述并不全面，且这两个模型不能很好地解决对权限和角色本身的管 理，所提及的权限模型并不适合应用在复杂、大型的分布式系统中。 除此之外，在二十世纪九十年代还出现了一些其它的访问控制技术，例如 俄罗斯学者曾经提出的基于加密的访问控制技术以及i b m 提出的基于进程间 通信( i p c ) 的访问控制技术等，由于它们主要侧重于访问控制实现技术的研究， 没有形成太大的影响【3 】。 1 3 研究内容和章节安排 1 3 1 研究内容 本文依据理论联系实际的思路，对基于角色的r b a c 模型在企业信息系统 中的应用进行研究，研究分为以下四个阶段进行。 ( 1 ) 搜集并阅读有关r b a c 和信息系统安全机制的文献，重点对r b a c 概念 模型进行仔细研究。 ( 2 ) 分析企业信息系统的流程，结合企业组织结构的特点，对r b a c 概念模 型提出改进方案，使模型更符合企业实际，更利于安全访问控制和安全管理的 实现。 ( 3 ) 根据r b a c 概念模型设计企业信息系统的r b a c 应用模型，即实现方案， 并构建系统的安全访问控制机制。 ( 4 ) 通过实例分析，将上述理论研究成果应用于实际系统的开发中。 1 3 2 章节安排 全文主要分为六个章节，具体章节安排如下： 第一章介绍了论文选题的背景以及选题的意义，并对国内外访问控制研 究的现状进行了分析。 第二章介绍了访问控制技术策略。目前访问控制策略主要存在三种方式， 并详细介绍其中的基于角色的访问控制技术的几种模型以及r b a c 模型得改进 模型。 第三章设计了信息管理系统中基于角色的安全访问控制方案，从系统的 需求入手，通过角色和权限的设计完成了方案设计。 第四章介绍了基于基色访问控制方案得特点，通过比较得出了r b a c 访 问控制得技术优势。 第五章通过实际项目保险中介业务管理系统，在其中实现了基于角色的 6 访问控制技术。 第六章对全文工作进行了总结，并提出了进一步研究的方向。 7 第二章访问控制技术 i s o 在1 9 8 9 年制定了开放系统互联( o s i ) 参考模型的信息安全体系结构 i s 0 7 4 9 8 2 标准 3 4 1 。它对构建具体网络环境的信息安全有重要的指导意义。 其核心内容为五大类安全服务，即鉴别、访问控制、数据完整性、数据保密性 和不可否认性，以及提供这些服务所需要的七类安全机制，包括加密、数据签 名、数据完整性、鉴别交换、业务填充、路由控制和公证。作为五大服务之一 的访问控制服务，在企业信息系统的安全体系结构中具有不可替代的作用。信 息系统访问控制理论的本质就是功能授权理论，即允许一些用户使用某些功能 而另一些用户则不能，这样可以限制对关键资源的访问，防止非法用户侵入或 合法用户不慎操作所造成的破坏。 访问控制( a c c e s sc o n t r 0 1 ) ，是通过某种途径显式地准许或限制访问能力及 范围的一种方法。通过访问控制服务，可以限制对关键资源的访问，防止非法 用户的侵入或者因合法用户的不慎操作所造成的破坏。 2 1 访问控制技术策略 信息系统安全保护最重要的技术措施是信息系统访问控制技术，即通过某 种途径显式地准许或限制访问能力及范围的一种方法。 2 1 1 主体、客体和访问授权 访问控制涉及到三个基本概念，即主体、客体和访问授权。 主体：是一个主动的实体，它包括用户、用户组、终端、主机或一个应用， 主体可以访问客体。 客体：是一个被动的实体，对客体的访问要受控。它可以是一个字节、字 段、记录、程序、文件，或者是一个处理器、存贮器、网络接点等。 授权访问：指主体访问客体的允许，授权访问对每一对主体和客体来说是 给定的。例如，授权访问有读写、执行，读写客体是直接进行的，而执行是搜 索文件、执行文件。对用户的访问授权是由系统的安全策略决定的。 在一个访问控制系统中，区别主体与客体很重要。首先由主体发起访问客 体的操作，该操作根据系统的授权或被允许或被拒绝。另外，主体与客体的关 系是相对的，当一个主体受到另一主体的访问，成为访问目标时，该主体便成 为了客体。 2 1 2 访问控制策略 访问控制通常有三种策略： 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) ： 8 强制访问控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) ； 基于角色的访问控制( r o l e b a s e da c c e s sc o n t r 0 1 ) 。 各种访问控制策略之间并不相互排斥，现存计算机系统中通常都是多种访 问控制策略并存，系统管理员能够对安全策略进行配置使其达到安全政策的要 带 1 7 】【1 8 1 1 9 】 口、o ( 1 ) 自主访问控制( d a c ) 自主访问控制，又称为随意访问控制，根据用户的身份及允许访问权限决 定其访问操作，只要用户身份被确认后，即可根据访问控制表上赋予该用户的 权限进行限制性用户访问。使用这种控制方法，用户或应用可任意在系统中规 定谁可以访问它们的资源，这样，用户或用户进程就可有选择地与其他用户共 享资源。它是一种对单独用户执行访问控制的过程和措施。 由于d a c 对用户提供灵活和易行的数据访问方式，能够适用于许多的系 统环境，所以d a c 被大量采用、尤其在商业和工业环境的应用上。然而，d a c 提供的安全保护容易被非法用户绕过而获得访问。例如，若某用户a 有权访问 文件f ，而用户b 无权访问f ，则一旦a 获取f 后再传送给b ，则b 也可访问 f ，其原因是在自由访问策略中，用户在获得文件的访问后，并没有限制对该 文件信息的操作，即并没有控制数据信息的分发。所以d a c 提供的安全性还 相对较低，不能够对系统资源提供充分的保护，不能抵御特洛伊木马的攻击。 ( 2 ) 强制访问控制( m a c ) 与d a c 相比，强制访问控制提供的访问控制机制无法绕过。在强制访问 控制中，每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何 客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定 用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户 是否可以访问该文件。此外，强制访问控制不允许一个进程生成共享文件，从 而防止进程通过共享文件将信息从一个进程传到另一进程。m a c 可通过使用敏 感标签对所有用户和资源强制执行安全策略，即实行强制访问控制。安全级别 一般有四级：绝密级( t o ps e c r e t ) ，秘密级( s e c r e t ) ，机密级( c o n f i d e n t i a l ) 反无级别级( u n c l a s s i f i e d ) ，其中t s c u 。 则用户与访问的信息的读写关系将有四种，即： 下读( r e a dd o w n ) ：用户级别大于文件级别的读操作。 上写( w r i t eu p ) ：用户级别低于文件级别的写操作。 下写( w r i t ed o w n ) ：用户级别大于文件级别的写操作。 上读( r e a du p ) ：用户级别低于文件级别的读操作。 上述读写方式都保证了信息流的单向性，显然上读一下写方式保证了数据 的完整性( i n t e g r i t y ) ，上写一下读方式则保证了信息的秘密性。 ( 3 ) 角色访问控制( r b a c ) 9 角色访问策略是根据用户在系统里表现的活动性质而定的，活动性质表明 用户充当一定的角色，用户访问系统时，系统必须先检查用户的角色。一个用 户可以充当多个角色、一个角色也可以由多个用户担任。角色访问策略具有以 下优点： 便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不 同角色的用户到场方能操作，从而保证了安全性； 便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务 的访问权就可由财务人员这个角色来区分； 便于赋予最小特权，如即使用户被赋予高级身份时也未必一定要使用，以 便减少损失。只有必要时方能拥有特权； 便于任务分担，不同的角色完成不同的任务； 便于文件分级管理，文件本身也可分为个同的角色，如信件、账单等，由 不同角色的用户拥有。 角色访问策略是一种有效而灵活的安全措施。通过定义模型各个部分，可 以实现d a c 和m a c 所要求的控制策略，目前这方面的研究及应用还处在实验 探索阶段。g e o r g em a s o n 大学在这方面处于领先地位，现在已经设计出了没有 r o o t 的u n i x 系统管理、没有集中控制的w e b 服务器管理等机制。 2 2 基于角色的访问控制 随着企业信息系统的迅速发展，对访问控制服务的质量也提出了更高的要 求，以上两种访问控制技术很难满足这些要求。d a c 将赋予或取消访问权限的 一部分权力留给用户个人，这使得管理员难以确定哪些用户对哪些资源有访问 权限，不利于实现统一的全局访问控制。而m a c 由于过于偏重保密性，对其 他方面如系统连续工作能力、授权的可管理性等考虑不足。9 0 年代以来出现的 一种基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 技术有效地克服了 传统访问控制技术中存在的不足之处，可以减少授权管理的复杂性，降低管理 开销，而且还能为管理员提供一个比较好的实现安全政策的环境。 2 2 1 基本概念 在r b a c 中均有四个基本实体，角色r ( r o l e ) ，用户u ( u s e r ) ，许可 p ( p e r m i s s i o n ) ，会话s ( s e s s i o n ) 2 4 1 2 5 】 2 6 1 2 7 1 ，引入了角色这一重要概念是r b a c 最大的特点。 ( 1 ) 角色 对应于企业组织结构中一定的职能岗位，即执行特定任务的能力或在组织 中己被授予一定责任的一个工作头衔。代表特定的权限，即用户在特定语境中 的状态和行为的抽象，反映用户的职责，是一个或一群用户在组织内可执行的 l o 操作集合。 ( 2 ) 用户 信息系统的使用者。主要是指人，也可以是机器人、计算机或网络，在本 研究中进行安全访问控制设计和实现时，用户指的是使用企业信息系统的人。 用户与角色是多对多的关系，即一个用户可以拥有多个角色，而一个角色可以 包含不同的用户。 ( 3 ) 许可 表示操作许可的集合，即用户对信息系统中的对象( o b s ) 进行某种特定模 式访问( o p s ) 的操作许可。在系统中对一个或多个客体进行特定模式访问的操作 许可，与实现机制密切相关。操作许可的本质取决于其所在的应用系统的实现 细节，如操作系统中保护的是文件、目录、设备、端口等资源，相应操作为读、 写、执行，而在关系数据库管理系统中则保护关系、元组、属性、视图，相应 操作为s e l e c t ，u p d a t e ，d e l e t e ，i n s e r t 。许可与角色是多对多的关系，即一个角色 可以拥有一个或多个操作许可，而一个操作许可可以被角色使用，而且用户对 操作许可的执行必须通过角色联系起来，从而可以提供对信息访问的更多控制。 ( 4 ) 会话 会话是一个动态概念，用户激活角色集时建立会话。会话是一个用户和多 个角色的映射，即一个用户可以集合某个角色子集，此时用户操作权限是激活 角色操作许可的并集。用户与会话是一对多的关系，一个用户可以同时打开多 个会话，会话等价于一般的主体概念，会话是一个访问控制单元，每个会话可 以拥有许多不同的操作权限。 r b a c 的基本思想是，授权给用户的访问权限，通常由用户在一个组织中 担当的角色来确定。r b a c 根据用户在组织内所处的角色进行访问授权与控制。 传统的访问控制直接将访问主体和客体相联系，而r b a c 在中间加入了角色， 通过角色沟通主体与客体。在r b a c 中，用户标识对于身份认证以及审计记录 是十分有用的，但真正决定访问权限的是用户对应的角色标识。 r b a c 对访问权限的授权由管理员统一管理，而且授权规定是强加给用户 的，用户只能被动接受，不能自主地决定。用户也不能自主地将访问权限传给 他人。这是一种非自主型访问控制。r b a c 中，主体、客体、角色、操作、用 户之间的关系如图2 1 所示，其中双向箭头表示多对多关系。 图2 1r b a c 中各元素相互关系示意 2 2 2r b a c 标准模型 在概述中已经提到，2 0 0 0 年美国国家标准与技术局( k i s t ) 的r a v i s a n d h u ，d a v i df e r r a i o l o 和r i c h a r dk u h n 三位作者，发表了“t h en i s tm o d e lf o r r o l e b a s e da c c e s sc o n t r o l ：t o w a r d sau n i f i e ds t a n d a r d ”一文，提出了n i s t 的 r b a c 标准理论模型，为模型的组成部分给出了标准定义。标准r b a c 模型分 成几个部分，包括平面r b a c ( f 1 a t r b a c ) 、层次式r b a c ( h i e r a r c h i c a l r ba c ) ， 带约束r b a c ( c o n s t r a i n e dr b a c ) 、对称式r b a c ( s y m m e t r i cr b a c ) ，四个模 型的复杂程度依次增加，每一个模型都是在前一个的基础上增加一些元素、功 能或限制而形成的。其中带约束的r b a c 又可以包含静态责任划分( s t a